Exemplos de design do grupo de disponibilidade do banco de dados
Aplica-se a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Tópico modificado em: 2010-10-01
A capacidade de um grupo de disponibilidade de banco de dados (DAG) conter até 16 servidores de caixa de correio, combinada à capacidade de se estender um DAG por múltiplas localidades físicas e sites do Active Directory, oferece uma grande número de possibilidades de design de arquitetura para os DAGs.
Você pode usar os exemplos de design para DAGs em uma variedade de ambientes:
DAG de dois membros, adequado para implantações em escritórios pequenos e de filiais.
DAG de quatro membros que oferece alta disponibilidade em um único datacenter, localizando todos os membros no mesmo datacenter.
DAG de quatro membros que oferece alta disponibilidade em um único datacenter e resiliência de site para o esse datacenter, localizando dois dos membros no datacenter primário e dois dos membros em um segundo datacenter.
O design que você usa para os DAGs e a distribuição de cópias de bancos de dados de caixa de correio serão baseados nos contratos de nível de serviço (SLAs) de sua organização e no objetivo de tempo de recuperação e no objetivo de ponto de recuperação do serviço de caixa de correio e dos dados, conforme declarado nesses SLAs.
Sumário
DAG de Dois Membros em um Site de Datacenter/Active Directory Único
DAG de quatro membros em um site de datacenter/Active Directory único
DAG de quatro membros em sites de dois datacenters/Active Directory
Dois DAGs de quatro membros em sites de dois datacenters/Active Directory
Usando servidores de Caixa de Correio que não contêm bancos de dados em um DAG para votos adicionais
Procurando tarefas de gerenciamento relacionadas à alta disponibilidade e à resiliência de site? Consulte Gerenciando a alta disponibilidade e resiliência do site.
DAG de Dois Membros em um Site de Datacenter/Active Directory Único
Um DAG de dois membros é o menor DAG possível capaz de oferecer alta disponibilidade. DAGs de dois membros são mais adequados a organizações que exigem alguma forma de alta disponibilidade para serviços e dados de caixa de correio, mas que não exigem resiliência de site. Essa configuração funciona especialmente bem em escritórios pequenos e de filiais, porque habilita a redundância para as funções de servidor de Acesso para Cliente, Caixa de Correio e Transporte de Hub usando apenas dois servidores do Exchange. A figura a seguir ilustra essa configuração.
Grupo de disponibilidade de banco de dados de dois membros
Vale a pena observar vários aspectos desta configuração:
Nesse design, apenas as funções de servidor de Acesso para Cliente, Caixa de Correio e Transporte de Hub são co-localizadas. Embora seja suportada para co-localização da função de servidor da Unificação de Mensagens, essa configuração não é recomendada por motivos de desempenho.
Para atingir a alta disponibilidade para funções de servidor de Acesso para Cliente e Transporte de Hub, alguma forma de balanceamento de carga deve ser usada entre os clientes e essas funções de servidor. Como essas funções de servidor são co-localizadas com um servidor de Caixa de Correio que é membro de um DAG, o Balanceamento de Carga de Rede do Windows não pode ser usado (porque o Balanceamento de Carga de Rede e o cluster de failover do Windows não podem ser instalados no mesmo servidor). Em vez disso, uma solução de Balanceamento de Carga de Rede que não pertença ao Windows deve ser usada (por exemplo, um balanceador de carga de hardware ou um balanceador de carga baseado em software de terceiros).
Como acontece com todos os DAGs que contêm um número par de membros, um DAG de dois membros exige um servidor testemunha para manter o quórum. O servidor testemunha (não mencionado) é um servidor Windows que não é e nunca será um membro do DAG. Por exemplo, organizações menores que usam essa configuração podem usar um servidor de arquivos ou um servidor de diretórios como o servidor testemunha. O quórum é mantido desde que mais da metade dos votantes de quórum estejam disponíveis e em comunicação. Um DAG de dois membros com um servidor testemunha fornece três votantes de quórum. (Cada membro do DAG e o servidor testemunha podem votar sempre que estiverem disponíveis e se comunicando.) Desse modo, um DAG de dois membros pode sobreviver à falha ou à falta de um votante (por exemplo, um dos membros do DAG ou apenas o servidor testemunha) sem uma interrupção de serviço. No entanto, a perda de dois dos votantes (por exemplo, um membro do DAG e um servidor testemunha) resultará em uma perda de quórum, causando uma interrupção de serviço.
Voltar ao início
DAG de quatro membros em um site de datacenter/Active Directory único
Um DAG de quatro membros em uma implantação de datacenter único oferece maior resiliência a falhas do que um DAG de dois ou três membros. DAGs maiores naturalmente oferecem maior resiliência, porque podem sustentar mais falhas sem uma interrupção de serviço. Enquanto um DAG de dois ou de três membros só pode sustentar a perda de um único votante sem perder quórum e comprometer o serviço, um DAG de quatro membros, que por definição têm cinco votantes de quórum, pode sustentar a perda de dois votantes sem perder quórum e comprometer o serviço.
A figura a seguir ilustra um DAG de quatro membros com todos os membros localizados em um único datacenter.
Grupo de Disponibilidade de banco de dados de quatro membros
Usando um DAG de quatro membros, você pode criar um máximo de quatro cópias de cada banco de dados. Essa é uma quantidade suficiente de banco de dados para permitir o uso de cenários de proteção de dados alternativos, como proteção flexível de caixa de correio. A proteção flexível de caixa de correio permite a você combinar a alta disponibilidade do Microsoft Exchange Server 2010 e os recursos de resiliência do Mecanismo de Armazenamento Extensível (ESE) com outros recursos integrados de proteção, como cópias de banco de dados de caixa de correio com retardo, políticas de retenção, a pasta Itens Recuperáveis e a política de retenção para criar uma solução capaz de reduzir a necessidade de outras formas de proteção, como o uso de RAID ou a realização de backups de dados. Para mais informações sobre a proteção flexível de caixa de correio, consulte Understanding Backup, Restore and Disaster Recovery. Para mais informações sobre o uso da replicação para seus backups e sobre o uso de JBOD, consulte Design do Armazenamento do Servidor de Caixa de Correio.
Voltar ao início
DAG de quatro membros em sites de dois datacenters/Active Directory
Um DAG de quatro membros se estende por dois datacenters e proporciona aos dois datacenters alta disponibilidade e resiliência de site para os dados e serviços de caixa de correio. Essa configuração é ilustrada na figura a seguir.
Grupo de disponibilidade de banco de dados de quatro membros que se estende por dois sites
Vale a pena observar vários aspectos desta configuração:
O servidor testemunha do DAG deve estar localizado no datacenter primário. De modo geral, o datacenter primário é o datacenter que contém a maior parte da população de usuários. O uso de um servidor testemunha no datacenter primário permite a funcionalidade contínua para a maior parte da população de usuários no caso de interrupção na rede de longa distância (WAN). Você pode usar vários DAGs para eliminar a WAN como um ponto único de falha e permitir que o serviço e o acesso aos dados continuem funcionais para vários datacenters, no caso de interrupção da WAN. Para obter mais informações, consulte o próximo exemplo.
Não há roteamento direto que permita o tráfego da rede de replicação em um servidor de membro do DAG para a rede MAPI em outro servidor de membro do DAG, ou o contrário, ou entre múltiplas redes de replicação no DAG. Por exemplo, é possível bloquear o tráfego entre a rede MAPI em cada membro do DAG e as redes de replicação nas outras redes do DAG. (Na figura anterior, a rede MAPI network em MBX1A não deve ter nenhuma conectividade de rede com as redes de replicação em MBX1B ou MBX2B.) É possível usar listas de controle de acesso (ACLs) para bloquear esse tráfego. Além disso, se estiver usando o protocolo DHCP para a rede de replicação, você poderá usar DHCP para configurar rotas estáticas para os membros do DAG.
Como essa configuração do DAG se destina a fornecer resiliência de site, o valor de vida útil (TTL) para os namespaces de acesso do cliente Exchange (Microsoft Office Outlook Web App, Autodiscover, Microsoft Exchange ActiveSync, Outlook Anywhere, POP3, IMAP4, SMTP e a matriz de Acesso para Cliente RPC) deve ser definido como 5 minutos nas zonas DNS internas e externas.
Neste exemplo, as funções de servidor do Exchange são implantadas em hardware dedicado. Como as funções de servidor de Acesso para Cliente e Transporte de Hub não são co-localizadas com o servidor de Caixa de Correio no DAG, o Balanceamento de Carga de Rede do Windows é usado para balancear a carga das funções de servidor de Acesso para Cliente e Transporte de Hub.
Voltar ao início
Dois DAGs de quatro membros em sites de dois datacenters/Active Directory
Conforme mostrado no exemplo anterior, o uso de um único DAG de quatro membros que se estende por dois datacenters pode fornecer alta disponibilidade e resiliência de site para os dados e serviços de caixa de correio. Entretanto, se ocorrer uma interrupção de WAN, somente o datacenter principal manterá o serviço, porque ele contém a maioria dos votantes. O datacenter com a minoria dos votantes perde a maioria, e os membros do DAG desse datacenter perdem quórum e ficam offline.
Para implantar servidores de Caixa de Correio de alta disponibilidade em um ambiente de datacenter múltiplo, em que cada datacenter atende ativamente a uma população de usuários locais, recomendamos implantar vários DAGs, em que cada DAG tem uma maioria de votantes em um datacenter diferente, como mostra a seguinte figura.
Dois DAGs de quatro membros que se estendem por dois sites
Como DAG1 e DAG2 têm um número par de membros, eles usarão um servidor testemunha. Embora vários DAGs possam usar o mesmo servidor testemunha, vários servidores testemunha em datacenters separados são usados para manter o serviço para a população de usuários locais de cada datacenter em caso de interrupção da WAN.
Os usuários localizados em Portland terão seu banco de dados de caixa de correio ativo localizado em PDXMBX3 e/ou PDXMBX4, com cópias de banco de dados passivas em REDMBX3 e/ou REDMBX4. Da mesma forma, os usuários localizados em Redmond terão seu banco de dados de caixa de correio ativo localizado em REDMBX1 e/ou REDMBX2, com cópias de banco de dados passivas em PDXMBX1 e/ou PDXMBX2. Se toda a conectividade de rede for perdida entre Redmond e Portland, ocorrerá o seguinte:
Para DAG1, os membros REDMBX1 e REDMBX2 serão a maioria e continuarão atendendo aos usuários no datacenter de Redmond porque eles podem se comunicar com um servidor testemunha do DAG1, HUB1.
Para DAG2, os membros PDXMBX3 e PDXMBX4 serão a maioria e continuarão atendendo aos usuários no datacenter de Portland porque eles podem se comunicar com um servidor testemunha do DAG2, HUB2.
Voltar ao início
Usando servidores de Caixa de Correio que não contêm bancos de dados em um DAG para votos adicionais
Como já mencionado, DAGs maiores naturalmente oferecem maior resiliência, porque podem sustentar mais falhas sem uma interrupção de serviço. Uma estratégia de design que pode ajudar a aumentar a resiliência ao lidar com falhas de membro do DAG é utilizar os servidores de Transporte de Hub existente no datacenter principal do DAG. Essa estratégia envolve a adição da função de servidor de Caixa de Correio (sem nenhum banco de dados ou nenhuma cópia de banco de dados) para o servidor de Transporte de Hub e depois a adição desse servidor ao DAG. Nesse cenário, a função de servidor de Caixa de Correio está sendo usada apenas para fins de votação e quórum. Quanto mais votantes em um DAG, mais falhas de votante o DAG poderá sustentar e ainda manter o quórum.
Por exemplo, considere um DAG de quatro membros que se estende por dois datacenters. O datacenter principal tem dois membros do DAG e o servidor testemunha, e o segundo datacenter tem dois membros do DAG. Como ilustrado na figura a seguir, há cinco votantes de quórum. Por isso, esse DAG pode perder dois votantes e ainda manter o quórum. Se o DAG perder um terceiro votante, ele perderá quórum e precisará de intervenção administrativa manual para restaurar o serviço.
DAG de quatro membros com um servidor testemunha
Usando os mesmos servidores nesse exemplo, você pode adicionar a função de servidor de Caixa de Correio aos servidores de Transporte de Hub REDHUB1, REDHUB2 e PDXHUB1 e adicionar esses servidores ao DAG1 (considerando que esses servidores sejam capazes de executar clusters de failover do Windows).
DAG de sete membros usando três servidores de Caixa de Correio que não têm bancos de dados
Neste ponto, você não cria nenhum banco de dados de caixa de correio nesses servidores. Você também não replica nenhuma cópia de banco de dados para esses servidores. Nessa configuração, é possível excluir o banco de dados de caixa de correio padrão e interromper o serviço de Armazenamento de Informações do Microsoft Exchange (que pode também ser opcionalmente desativado).
Dica
Embora o serviço de Armazenamento de Informações do Microsoft Exchange não seja necessário para um servidor de Caixa de Correio que não contenha um banco de dados para participar da votação de quórum, o serviço de Replicação do Microsoft Exchange deverá estar em execução para que o servidor de Caixa de Correio participe do quórum e das funções do DAG.
Após os servidores de Caixa de Correio que não contêm bancos de dados serem adicionados como membros do DAG, eles se tornarão participantes do quórum para o DAG. Nessa configuração, o DAG1 agora tem sete votantes de quórum. Como resultado, ele pode perder três servidores e ainda manter o quórum.
Voltar ao início
© 2010 Microsoft Corporation. Todos os direitos reservados.